주요사항
구체적 연간교육계획 수립·경영진 승인, 연 1회이상 수행·기록보관, 적정성 평가, 직무별 전문 교육 별도 운영
인증기준
임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.
확인사항
- 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?
- 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?
- 임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?
- IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?
- 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?
가상자산 사업자 확인사항
- 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?(다음 교육시간 준수)
- 임원 : 3시간 이상(단, 정보보호 최고책임자는 6시간 이상)
- 일반직원 : 6시간 이상
- 정보기술부문업무 담당 직원 : 9시간 이상
- 정보보호업무 담당 직원 : 12시간 이상
- IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행하고 있는가?
결함사례
- 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나 당해년도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
- 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식교육은 일정 시간 계획되어 있으나 개인정보 보호책임자 및 개인정보 담당자 등 각 직무별로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
- 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
- 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나 교육시행 및 평가에 관한 기록(교육자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
- 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우
- 모든 임직원, 임시직원, 외주 용역업체 등 모든 인력 포함
- 위탁사 관리(관련정보 제공, 관리 감독)
- 교육계획 포함 사항
(개인정보의 기술적·관리적 보호조치 기준 제3조제2항)
- 교육목적 및 대상
- 교육 내용
- 교육 일정 및 방법
- 전자금융감독규정 제19조의2(정보보호 교육계획의 수립 시행)
- ① 정보보호최고책임자는 임직원의 정보보호역량 강화를 위하여
필요한 교육프로그램을 개발하고, 다음 각 호의 기준에 따라 매년 교육계획을 수립・시행하여야 한다.
- 임원 : 3시간 이상(단, 정보보호최고책임자는 6시간 이상)
- 일반직원 : 6시간 이상
- 정보기술부문업무 담당 직원 : 9시간 이상
- 정보보호업무 담당 직원 : 12시간 이상
- ② 최고경영자는 정보보호교육을 실시한 이후 대상 임직원에 대해 평가를 실시하여야 한다.
- ③ 제1항의 교육프로그램 개발과 정보보호교육은 정보보호 전문 교육기관에 위탁할 수 있다.
스와이프(Swipe)로 이전/다음 항목으로 이동